500 likes | 745 Views
Decreto Legislativo 196/2003 “Testo Unico sulla Privacy”. Percorso Storico. Struttura del codice. Trattamento.
E N D
Decreto Legislativo 196/2003 “Testo Unico sulla Privacy”
Trattamento qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non una banca di dati
Dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Dato Identificativo i dati personali che permettono l’identificazione diretta dell’interessato l’identificazione diretta dell’interessato
Dati sensibili i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
Misure Minime Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello massimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle attività di raccolta
Autenticazione Informatica insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità Credenziali di autenticazione i dati e i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica
Parola Chiave Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica Profilo di autorizzazione Insieme delle informazioni associate ad una persona che consente di individuare i dati ai quali la stessa può accedere ed i trattamenti ad essa consentiti Sistema di autorizzazione L’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente
Comunicazione il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
Diffusione il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
Banca dati qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.
Art. 5 Oggetto ed ambito di applicazione • 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. • 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali. • 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Art. 7 Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L’interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
Art. 7 Diritto di accesso ai dati personali ed altri diritti c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L’interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Art. 11 Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Cosa fare in Azienda? • Effettuare le nomine dei ruoli responsabilità • Aggiornamento e revisione degli adempimenti • Eventuale Notifica presso il Garante • Informativa • Gestione del consenso • Adozione delle misure di sicurezza • Informazione e formazione del personale • Redigere il DPSS
Nomina dei ruoli di responsabilità • Nomina del/i responsabile/i del trattamento • Nomina degli incaricati del trattamento • Nomina di eventuali altre figure La nomina del responsabile del Trattamento non è un adempimento obbligatorio
Il Responsabile Responsabile, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza Il Responsabile può essere un soggetto (persona fisica o giuridica) anche esterno all’azienda
Il Rappresentante nazionale di Titolare estero Il Codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non U.E. e impiega strumenti situati nel territorio dello Stato, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio U.E. Il Titolare del trattamento designa un proprio Rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.
Gli Incaricati Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o Responsabile, attenendosi alle istruzioni impartite. Non necessariamente l’incaricato è un dipendente dell’Azienda, ma può trattarsi di un consulente o collaboratore esterno
……Gli Incaricati Il Responsabile dovrebbe identificare i criteri da seguire per l’individuazione degli incaricati in modo tale da procedere alla nomina delle sole persone preposte ad attività che comportano un rilevante e non occasionale o marginale trattamento di dati personali Disciplinare tecnico (all. B), nel caso di trattamenti con strumenti elettronici, individua la figura dell’Incaricato alla custodia di copia delle credenziali
La Notifica Che cos’è? E’ la dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta ed utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. La "nuova notificazione" va eseguita unicamente in via telematica, compilando i campi del modello disponibile sul sito Internet https://web.garanteprivacy.it/rgt/. L’art 37 prevede l’omissione della notifica
Art. 37 Notificazione del trattamento 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
Art. 37 Notificazione del trattamento f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione. 3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
Modalità della notificazione La trasmissione della notifica può avvenire solo per via telematica, tramite il sito del Garante, anche con la collaborazione di eventuali intermediari autorizzati quali: Poste Italiane spa U.NA.P.P.A. – Unione nazionale pratiche amministrative A.L.A.R. – Associazione lavoratori autonomi riuniti La notificazione deve essere sottoscritta con firma digitale Costi della notifica Ogni notificazione inviata al Garante deve essere accompagnata dal pagamento dei diritti di segreteria il cui importo è fissato in 150,00 €uro. Il pagamento può essere effettuato alternativamente con: - carta di credito (on-line) - bonifico bancario - versamento su c/c postale Il sito del Garante riporta le coordinate bancarie e il c.c. postale del Garante da utilizzare per il pagamento dei diritti di segreteria
L’informativa L’Interessato o la persona presso la quale sono raccolti i dati personali devono essere PREVIAMENTE INFORMATI oralmente o per iscritto circa: - Le finalità e le modalità del trattamento cui sono destinati i dati - La natura obbligatoria o facoltativa del conferimento dei dati - Le conseguenze di un eventuale rifiuto di rispondere - I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi - I suoi diritti - Gli estremi identificativi del titolare e (se designati) del Rappresentante nel territorio dello Stato e del Responsabile - Gli estremi di un Responsabile qualora designati più di uno, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei Responsabili
Art. 23 Consenso 1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. Quando non è necessario il Consenso? Art.24 - È necessario per adempiere ad un obbligo di legge - È necessario per eseguire gli obblighi derivanti da un contratto del quale è parte l’Interessato o per adempiere a specifiche richieste dello stesso - Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque - Riguarda dati relativi allo svolgimento di attività economiche trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale - È necessario sulla base dei principi sanciti dalla legge per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati - È effettuato da associazioni, enti od organismi senza scopo di lucro, in riferimento a soggetti che hanno con essi contatti regolari per il perseguimento di scopi determinati e legittimi - E’ effettuato dai soggetti pubblici (salvo quanto previsto nella parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici)
Art. 26 Garanzie per i dati sensibili • - “I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante…” • “Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto” • I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento: • - è effettuato da associazioni, enti od organismi senza scopo di lucro a carattere politico, filosofico, religioso o sindacale per il conseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, statuto, contratto collettivo, relativamente ai dati personali degli aderenti… • - È necessario per la salvaguardia della vita o incolumità fisica di un terzo • - È necessario ai fini dello svolgimento delle investigazioni difensive di cui alla L. 07/12/2000 n. 397 • - È necessario per adempiere a specifici obblighi o compiti previsti dalla leggi, regolamenti o normativa comunitaria per la gestione del rapporto di lavoro
Le misure di sicurezza Nel codice è presente la distinzione tra: Misure di sicurezza Misure di sicurezza IDONEE MINIME L’art. 31 del Codice prevede che nel trattamento dei dati personali debbano essere rispettati particolari “obblighi di sicurezza”
Le misure idonee Art. 31: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” Le misure minime di sicurezza I titolari sono comunque tenuti ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali
Le misure minime di sicurezza Trattamento dei dati con strumenti elettronici -Autenticazione informatica -Procedure di gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione - Aggiornamento periodico dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi - Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti - Procedure per la custodia di copie di back-up, il ripristino della disponibilità dei dati e dei sistemi -Redazione e aggiornamento del Documento Programmatico sulla sicurezza (DPSS) - Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari
Le misure minime di sicurezza Il Disciplinare Tecnico Nel Disciplinare Tecnico (allegato B) sono individuate le modalità tecniche di adozione delle Misure Minime di Sicurezza Il Disciplinare tecnico sarà aggiornato periodicamente con Decreto del Ministro di Giustizia di concerto con il Ministro per le innovazioni tecnologiche
Le misure minime di sicurezza Il Disciplinare Tecnico Il Disciplinare Tecnico individua: -Il Sistema di autenticazione informatica - Il Sistema di autorizzazione - Altre misure di sicurezza - Documento programmatico sulla sicurezza - Ulteriori misure in caso di trattamento di dati sensibili o giudiziari - Misure di tutela e garanzia
Le misure minime di sicurezza Sistema di Autenticazione Informatica Il trattamento dei dati è consentito solo agli incaricati dotati di Credenziali Di Autenticazioneche consistono in un codice per l’identificazione dell’incaricato (ID user) associato a una parola chiave (password) Oppure - in un dispositivo di autenticazione eventualmente associato a un codice identificativo o a una parola chiave Oppure -In una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave
Le misure minime di sicurezza Sistema di Autenticazione Informatica 1) Gestione delle User-ID - Criteri di definizione e assegnazione - Individualità - Non riutilizzabilità (non può essere assegnata ad altri incaricati, nemmeno in tempi diversi) - Validità temporale (disattivazione in caso di prolungato mancato utilizzo – 6 mesi - o per perdita della qualità che consente all’incaricato l’accesso ai dati personali) - Criteri di disattivazione
Le misure minime di sicurezza Sistema di Autenticazione Informatica 2) Gestione delle Passwords -Criteri di creazione (almeno 8 caratteri o dal numero massimo di caratteri consentiti dal sistema; senza riferimenti agevolmente riconducibili all’incaricato) - Criteri di gestione (modifica al primo utilizzo e, successivamente, almeno ogni 6 mesi (3 mesi in presenza di trattamento di dati sensibili o giudiziari)) e di custodia - Validità temporale (disattivazione automatica per mancato utilizzo – 6 mesi - o per perdita della qualità che consente all’incaricato l’accesso ai dati personali) - Modalità di ripristino delle credenziali in caso di perdita Password
Le misure minime di sicurezza Sistema di Autenticazione Informatica Il titolare dovrà fornire agli incaricati precise istruzioni in merito: 1. Alla gestione e conservazione delle credenziali di autenticazione 2. Alla custodia dei dispositivi in possesso e uso esclusivo dell’incaricato 3. Alla gestione e custodia dello strumento elettronico durante le sessioni di trattamento (Es. screensaver con password) 4. Individuazione delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale
Le misure minime di sicurezza Sistema di Autorizzazione Profili di autorizzazioni (per incaricato o classi omogenee di incaricati): - individuazione preventiva rispetto all’inizio del trattamento - verifiche periodiche (almeno annuali) della sussistenza delle condizioni per il mantenimento dei profili di autorizzazione - Criteri di revoca
Le misure minime di sicurezza Altre misure di sicurezza • - Aggiornamento periodico e verifiche (almeno annuale) dell’ambito di trattamento consentito agli incaricati e redazione della Lista Incaricati • - Installazione e aggiornamento software antivirus (almeno 6 mesi) • Installazione e aggiornamento software per prevenire vulnerabilità e correggere difetti (almeno annualmente, in presenza di dati sensibili ogni 6 mesi) • Istruzioni organizzative e tecniche per il back-up dei dati • • Modalità e procedure di Back-up, • • Frequenze di salvataggio (almeno settimanale); • • Organizzazione e responsabilità • • Verifiche e aggiornamento
Le misure minime di sicurezzaDocumento programmatico sulla sicurezza (DPSS) E' l'unico documento in grado di attestare l'adeguamento della struttura alla normativa. Il DPSS è un manuale di pianificazione della sicurezza dei dati in azienda. In ogni caso si tratta di un consistente piano per la sicurezza dei dati, un manuale scritto ed avente data certa a prova formale dell'adeguamento sostenuto.
Le misure minime di sicurezzaDocumento programmatico sulla sicurezza (DPSS) La vera novità del disciplinare tecnico non è solo la redazione del solo la redazione del DPS obbligatoria per tutti i soggetti che trattano dati sensibili o giudiziari con strumenti elettronici, ma altresì il dare evidenza dell’aggiornamento – da attuarsi entro il 31 marzo di ogni anno – nella relazione accompagnatoria al bilancio d’esercizio La redazione del DPSS è comunque ASSOLUTAMENTE CONSIGLIATA a prescindere dal tipo di dato trattato, anche alla luce di interpretazioni che lo vogliono obbligatorio al semplice trattamento di dati effettuato con strumenti elettronici (a prescindere dalla presenza di dati sensibili o giudiziari)
Le misure minime di sicurezzaUlteriori misure minime di sicurezza Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari •Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili (floppy, cd-rom) •Istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute (non tecnicamente ricostruibili) •Adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti
Le misure minime di sicurezzaMisure di Tutela e Garanzia Il titolare che si avvale di soggetti esterni per l’adozione delle misure minime di sicurezza (outsourcing) deve farsi rilasciare dall’installatore una descrizione scritta dell’intervento effettuato Attesta la conformità alle Disposizioni del Disciplinare Tecnico
Le misure minime di sicurezzaTrattamenti Con Strumenti Elettronici Nel caso in cui gli strumenti non consentono (per limiti tecnologici e/o obsolescenza) l’immediata applicazione delle misure di sicurezza previste dal Codice e dal Disciplinare Tecnico Il titolare è tenuto a descrivere, in un documento avente data certa e da custodire presso la propria struttura, gli impedimenti tecnici che non hanno consentito la puntuale attuazione del dettato normativo. Detti titolari avranno tempo fino al 31-03-2006 per adeguare i propri sistemi informatici ed implementare le misure di sicurezza
Le violazioni della privacyDanni cagionati con il trattamento “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile se non prova di avere adottato tutte le misure IDONEE ad evitare il danno” (Resp.civile) L’interessato leso non dovrà provare la colpa del Titolare ma solo il nesso di casualità, ovvero: - Che il danno si sia realizzato - Che il danno dipenda dall’attività di trattamento
Le violazioni della privacyViolazioni Amministrative D. C. = Dati Comuni D. S. = Dati Sensibili
Le violazioni della privacyIlleciti Penali D. C. = Dati Comuni D. S. = Dati Sensibili